Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN IKEv1 SA Aushandlung

Mitglied: Hansenmann

Hansenmann (Level 1) - Jetzt verbinden

10.10.2018 um 14:51 Uhr, 227 Aufrufe, 5 Kommentare

Hallo Leute,

ich habe mal eine Frage bzgl. SA-Aushandlungen. Wenn wir z.B. folgende Konstellation haben:

VPN - Client -> VPN GW - > Coreswitch - VPN GW - Server

Die direkte Verbindung vom VPN-Client zum ersten GW ist mit gegenseitiger manueller SA-Regelerzeugung erstellt worden.
Nach meinem Kenntnisstand benötigt man nun ebenfalls eine SA vom VPN-Client zum Servernetz, die auf dem Client hinterlegt wird.

Was ist nun mit den ganzen Transfernetzen, die werden dann einfach durchgeroutet, oder wird für jedes Netz, zum Endnetz eine SA benötigt?

Vielen Dank



Mitglied: tikayevent
10.10.2018 um 15:47 Uhr
Es ist nicht zwingend notwendig, aber man muss dann z.B. auf traceroute als Diagnosewerkzeug verzichten.
Bitte warten ..
Mitglied: aqui
10.10.2018 um 19:09 Uhr
oder wird für jedes Netz, zum Endnetz eine SA benötigt?
Nein, das kommt darauf an was für eine Subnetzmakse du an den Client versendest. Bei entsprechender Größe und sofern die Netze konsistent sind reicht eine SA.
Bei wilder Verteilung musst du mehrere SAs definieren !
Bitte warten ..
Mitglied: Hansenmann
12.10.2018 um 16:15 Uhr
Das bedeutet, wenn ich eine Maske mit entsprechend großem Subnet habe, dann sind die eingeteilten Subnetzenatürlich abgedeckt.
Sollten es aber immer einzelne Netze sein, dann benötige ich immer eine entsprechende SA.

@TiKa
Wenn ich obigeres lese, dann bedeutet dies, dass meine Pakete zwar durchgeroutet werden, ich aber
keine "Vertrauenstellung" zu dem Netzwerk habe, richtig verstanden ?
Bitte warten ..
Mitglied: aqui
12.10.2018, aktualisiert um 17:34 Uhr
Das bedeutet, wenn ich eine Maske mit entsprechend großem Subnet habe....
Nein !
Vermutlich hast du das missverstanden ?!
Nehmen wir mal an du hast remote die folgenden IP Netze:
  • 192.168.10.0 /24
  • 192.168.20.0 /24
  • 192.168.30.0 /24
  • bis 192.168.100.0 /24
Dann kanst du als SA Subnetzmaske die 192.168.0.0 /17 (255.255.128.0) nehmen.
Diese SA routet dann alle IP Netze von 192.168.0.1 bis 192.168.127.254 in den VPN Tunnel und deckt damit alle deine remoten Netze ab.
Hast du aber sowas:
  • 10.1.1.0 /24
  • 172.16.1.0 /24
  • 172.32.100.0 /24
  • 192.168.168.0 /24
usw. dann siehst du schon das du da mit Summary Masken nix wirst und mehrere SAs definieren musst.
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 16.10.2018 um 15:44 Uhr
Die Pakete zu einem Netzwerk gehen, für die es keine Netzbeziehung gibt (src <=> dst) werden verworfen. Die Netzbeziehung ist aber nicht nötig, wenn ein solches Netz nur für den Transit genutzt wird, da ja keine direkte Kommunikation mit dem Netzwerk nötig ist.

Ist im Internet genauso, in reine Transitverbindungen eines Providers kannst du nicht reingreifen, wenn du diese überhaupt siehst.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

IPSEC VPN (Site2Site) bricht Child SA ab - ZyXEL USG - PfSense

Frage von itschloeglNetzwerkmanagement2 Kommentare

Hallo und Guten Morgen zusammen, habe mich schonmal durchs Forum gewühlt aber nicht wirklich die Lösung auf mein Problem ...

Windows Server

SA Kontosperrung aufheben (ohne andere Admin-Konten)

gelöst Frage von HanutaWindows Server1 Kommentar

Hallo Zusammen, ich habe folgendes Problemwir haben einen SQL 2008 R2 SQL Server. Auf diesem Server ist nur ein ...

Cluster

VPN - Aber wie?

gelöst Frage von schneerunzelCluster5 Kommentare

Hallo zusammen. . ich brauch eine neue Lösung für VPN Verbindungen von Clients zum RZ Standort. Leider bin ich ...

LAN, WAN, Wireless

Ein VPN im VPN aufbauen

Frage von MasterSchlumpfLAN, WAN, Wireless3 Kommentare

Hallo Freunde, ich habe eine Frage. Welchern Ausgangsort habe ich, wenn ich von meinem PC aus 2 VPN Verbindungen. ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 26 MinutenMicrosoft

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für einzelne Huawei-Smartphones

Tipp von VGem-e vor 1 StundeSpeicherkarten

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 StundenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 17 StundenHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1022 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Debian
Linux debian 9 Installation
Frage von Green14Debian16 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Outlook & Mail
Outlook schiebt Mails aus Posteingang sofort in den Papierkorb
Frage von hermesOutlook & Mail13 Kommentare

Hallo Outlook Fachleute, wir haben hier das Problem, dass Outlook 2010 alle ankommenden Mails seit zwei Tagen einfach in ...